Anteproyecto de Ley sobre la seguridad de las redes y sistemas de información

El Gobierno podrá imponer multas de hasta un millón de euros a empresas que cometan infracciones en ciberseguridad

Noticia

Las compañías deberán reducir al mínimo el impacto de los incidentes y notificar los que puedan tener efectos significativos en los servicios

Gobierno-proyectos-inteligentes-millones-inversion_EDEIMA20160801_0004_1.jpg

El Gobierno podrá imponer multas de entre 500.001 euros y un millón de euros a aquellos operadores de servicios esenciales y proveedores de servicios digitales que cometan infracciones muy graves en materia de ciberseguridad, como el incumplimiento reiterado de notificar incidentes con efectos significativos en el servicio o no tomar las medidas necesarias para resolverlos.

El Ministerio de Energía, Turismo y Agenda Digital ha sacado a audiencia pública hasta al 8 de febrero el anteproyecto de Ley sobre la seguridad de las redes y sistemas de información, que tiene como objetivo "regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales y establecer un sistema de notificación de incidentes".

El Ministerio remarca que la evolución de las Tecnologías de la Información y de la Comunicación (TIC), especialmente con el desarrollo de Internet, ha hecho que las redes y sistemas de información desempeñen actualmente un "papel crucial" en la sociedad, siendo su fiabilidad y seguridad "aspectos esenciales para el desarrollo normal de las actividades económicas y sociales".

Por ello, incide en que los incidentes que alteran dichas actividades representan una "grave amenaza", pues tanto si son fortuitos como si provienen de acciones deliberadas pueden "generar pérdidas financieras, menoscabar la confianza de la población y, en definitiva, causar graves daños a la economía y en la sociedad con la posibilidad de afectar a la propia seguridad nacional en la peor de las hipótesis".

Por este motivo, considera "oportuno" establecer mecanismos que, con una perspectiva integral, permitan mejorar la protección frente las amenazas que afectan a las redes y sistemas de información, facilitando la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea (UE).

El anteproyecto recoge que los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización "adecuadas y proporcionadas" para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a esta ley.

Además, deberán tomar las medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten y notificar a la autoridad competente los incidentes que puedan tener efectos significativos en los servicios, así como los sucesos o incidencias que puedan afectar las redes y sistemas de información empleados para la prestación de los servicios, pero que aún no hayan tenido un efecto adverso real sobre aquellos.

A este respecto, el anteproyecto recoge que los empleados y el personal que, por cualquier tipo de relación laboral o mercantil, participe en la prestación de los servicios esenciales o digitales que informen sobre incidentes "no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa", salvo en los supuestos en que se acredite mala fe en su actuación.

Sanciones

En este contexto, el anteproyecto incluye un régimen sancionador que clasifica en tres tipos las infracciones de los preceptos incluidos en la ley: muy graves, que tendrán una multa de 500.001 euros hasta un millón de euros; graves, que conllevarán una multa de 100.001 euros hasta 500.000 euros, y leves, que recibirán una amonestación o multa de hasta 100.000 euros.

El texto indica que una infracción muy grave es la falta de adopción de medidas para subsanar los incumplimientos detectados, cuando éstos le hayan hecho vulnerable a un incidente con efectos significativos en el servicio y la compañía no hubiera atendido los requerimientos dictados por la autoridad competente con anterioridad a la producción del incidente.

Las otras son el incumplimiento reiterado (a partir del segundo incumplimiento) de la obligación de notificar incidentes con efectos significativos en el servicio, y no tomar las medidas necesarias para resolver los incidentes cuando éstos tengan un impacto significativo en servicios esenciales o servicios digitales en España o en otros Estados miembros.

Entre las infracciones graves se encuentra el incumplimiento de las disposiciones reglamentarias o de las instrucciones técnicas de seguridad dictadas por la autoridad competente referidas a las precauciones mínimas que los operadores de servicios esenciales han de adoptar para garantizar la seguridad de las redes y sistemas de información.

Otras infracciones graves son la falta de adopción de medidas para subsanar los incumplimientos detectados en respuesta a un requerimiento dictado cuando sea el tercero desatendido en cinco años, el incumplimiento de la obligación de notificar incidentes con efectos significativos en el servicio, la demostración de una notoria falta de interés en la resolución de incidentes con impacto significativo y la información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.

Por otro lado, informa de que antes del 9 de noviembre de 2019 se fijará cuales son los servicios esenciales y los operadores correspondientes a los sectores estratégicos energía, transporte, salud, sistema financiero, agua, e infraestructuras digitales, que estarán sujetos a esta ley. Como prestadores de servicios digitales se considera a mercados en línea, motores de búsqueda en línea y servicios de computación en la nube.

Fuente de la noticia: Europapress.